2 पॉइंट द्वारा GN⁺ 2023-12-20 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • खो जाने के बाद वापस मिला MacBook Activation Lock में फंस गया था, और Apple Store की रसीद तक जमा करने के बावजूद सामान्य support प्रक्रिया में unlock करने से इनकार कर दिया गया
  • Hacker News पर नंबर 1 पर दिखने के बाद भी Apple की ओर से कोई संपर्क नहीं आया, और जापान के English-speaking developer Discord में सुझाया गया tcook@apple.com route ही वास्तविक समाधान तक ले गया
  • ईमेल भेजने के 4 business days बाद Tim Cook की जापान executive assistant team ने जवाब दिया, और करीब 2 हफ्ते की जांच के बाद पता चला कि MacBook को अगस्त के मध्य में reset किया गया था और फिर एक नए iCloud account से lost report किया गया था
  • Apple ने यह policy लागू की कि lost report की गई devices को original purchase proof होने पर भी unlock नहीं किया जाता, लेकिन अतिरिक्त documents की review के बाद इसे लेखक की ownership मानते हुए lock हटा दिया
  • Apple Security Research ने इसे security issue नहीं माना, और यह मामला initial setup flow में Find My setting को आसानी से skip कर पाने और unlock policy की खामियों को उजागर करता है

Tim Cook ईमेल के जरिए escalated unlock

  • खोया हुआ MacBook वापस मिल गया था, लेकिन Activation Lock enabled था, और Apple ने Apple Store की रसीद जमा करने के बावजूद unlock करने से इनकार कर दिया
  • पिछले अनुभव पर लिखा गया article Hacker News के top पर पहुंचा, लेकिन Apple से सीधे कोई संपर्क नहीं आया
  • जापान के English-speaking software developer Discord में एक moderator ने बताया कि tcook@apple.com पर ईमेल भेजने से executive assistant team पहले ऐसे मामले को समाधान कर सकने वाले जिम्मेदार व्यक्ति तक escalate कर चुकी है
  • सभी सामान्य रास्ते आजमाने के बाद भेजे गए ईमेल में ये बातें शामिल थीं
    • MacBook खोने के बाद वापस आया, लेकिन Activation Lock enabled है
    • Apple Store की रसीद जमा करने के बावजूद unlock request reject कर दी गई
    • इस अनुभव पर लिखा गया article Hacker News के top पर पहुंचा, और वे इस frustrating कहानी का अच्छा अंत चाहते हैं
  • 4 business days बाद Tim Cook की Japan executive assistant team ने जवाब दिया, और इसके बाद करीब 2 हफ्तों तक email और phone से verification जारी रहा
  • पुष्टि हुई घटनाएं इस प्रकार थीं
    • MacBook को लेखक द्वारा खोने के बाद, अगस्त के मध्य में reset किया गया
    • उसे एक नए बनाए गए iCloud account से जोड़ा गया
    • p से शुरू होने वाले email address वाले account ने उस MacBook को lost report किया
  • Apple ने पुरानी request इसलिए reject की क्योंकि policy के तहत lost report की गई device को original purchase proof होने पर भी unlock नहीं किया जाता
  • executive assistant team को जमा किए गए documents के आधार पर भरोसा हो गया कि MacBook लेखक का ही है, और परिणामस्वरूप lock हटा दिया गया
  • यह निश्चित नहीं है कि Hacker News पर फैलना निर्णायक था या नहीं, लेकिन लेखक ने बताया कि उन्होंने assistant team को पिछली Activation Lock removal request की तुलना में अधिक evidence नहीं दिया था

MacBook के साथ असल में क्या हुआ और बचे हुए सवाल

  • lock खुलने तक वे पहले ही एक replacement MacBook खरीद चुके थे, इसलिए यह unlock वास्तविक उपयोग से ज्यादा principle और घटनाक्रम की पुष्टि जैसा था
  • Apple ने बताया कि MacBook “कैसे” lock हुआ, लेकिन यह नहीं बताया कि ऐसा “क्यों” हुआ
  • MacBook लौटाने वाले व्यक्ति के साथ email exchange से समझ में आया घटनाक्रम इस प्रकार था
    • उस व्यक्ति ने खुद reset नहीं किया था
    • वे इसे एक shop में unlock कराने ले गए
    • shop lock तो नहीं खोल पाई, लेकिन MacBook को reset कर दिया
    • shop को देने से पहले लेखक की login profile information दिखाई देती थी, लेकिन बाद में दिखाई नहीं दी, ऐसा उन्होंने बताया
    • unlock में fail होने के बावजूद shop ने पैसे मांगे
    • पैसे क्यों मांगे, यह पूछने पर उस व्यक्ति ने reply करना बंद कर दिया
  • लेखक को शक है कि shop ने नए Apple ID से MacBook reset करके lost report किया होगा ताकि पैसे ऐंठे जा सकें
    • संभव है कि पहले इसे “unlocked” जैसा दिखाकर लौटाया गया हो और बाद में फिर lost report करके lock कर दिया गया हो ताकि अतिरिक्त fee मांगी जा सके
    • या यह भी संभव है कि उन्होंने ऐसा बनाया हो कि lock सिर्फ वे ही खोल सकें और इसके लिए ज्यादा पैसे मांगें
    • iCloud address का p से शुरू होना शायद इसलिए था कि login screen पर दिखे “Paul McMahon” नाम को देखकर एक भरोसेमंद लगने वाला email address बनाया गया
  • MacBook के initial setup में Apple ने Find My setting को आसानी से skip करने योग्य रखा है
  • Find My setup न करने के परिणाम इतने गंभीर हैं कि Apple को initial setup flow में इस risk को अधिक स्पष्ट रूप से बताना चाहिए या unlock policy पर फिर से विचार करना चाहिए
  • इस मामले को Apple Security Research को report किया गया, लेकिन Apple ने जवाब दिया कि “report में कोई security issue पहचाना नहीं जा सकता”

1 टिप्पणियां

 
GN⁺ 2023-12-20
Hacker News टिप्पणियाँ
  • मुझे पहले पुलिस से सूचना मिली थी कि उन्होंने मेरा चोरी हुआ laptop बरामद कर लिया है, लेकिन वह evidence bag में पूरी तरह टूटे हुए खोल की तरह लौटा, जिससे बहुत निराशा हुई
    इस मामले में डिवाइस फिर से इस्तेमाल लायक हो गया, यह अच्छी बात है, लेकिन मूल रूप से यह मुझे खरीदने वाली कंपनी द्वारा थोपी गई एक कृत्रिम समस्या लगती है
    अपने ही डिवाइस की private key आपके पास न होना आखिरकार यही मतलब रखता है कि इस्तेमाल का अधिकार बहुत अमीर और बेपरवाह अजनबियों की सद्भावना पर निर्भर है, और इस बार जैसा अच्छा नतीजा मिलना अपवाद जैसा लगता है

    • चोरी-रोधी फीचर बनाए रखते हुए इससे बेहतर समाधान क्या हो सकता है, यह जानना चाहूंगा
      Activation Lock लगे iPhone या Mac की कीमत आम तौर पर विदेशी बाजारों में पार्ट्स निकालकर बेचने जितनी ही होती है, और किस्मत खराब हो तो iCloud से डिवाइस हटाने के लिए धमकी भरे text messages भी मिल सकते हैं
      चोरों को नया firmware डालकर उसे नए डिवाइस की तरह इस्तेमाल करने से रोकना एक मुख्य selling point है, और कुछ खरीदारों के लिए यह ज्यादा कीमत को जायज भी ठहरा सकता है
      0: https://old.reddit.com/r/applehelp/comments/13yn1o0/phone_st...
      1: https://old.reddit.com/r/applehelp/comments/16fcd4c/recently...
    • “अपने ही डिवाइस की private key आपके पास नहीं है” वाला हिस्सा गलतफहमी है
      मेरी नजर में शुरुआत से ही Apple computer का मालिक होना संभव नहीं है
    • मूल पोस्ट Activation Lock की तारीफ करते हुए भी इस बात की आलोचना करता है कि setup को skip किया जा सकता है, लेकिन इसे यह दावा बना दिया जा रहा है कि Activation Lock खुद ही खराब है
      यह इस साइट पर आम Apple की अंधाधुंध आलोचना भर है; उबाऊ, खास मतलब के बिना और दिलचस्प नहीं
    • यह कंपनी द्वारा थोपी गई समस्या नहीं, बल्कि पूरी तरह user द्वारा खुद पैदा की गई समस्या है
      2023 में हमें remote measurement, repair न हो सकने वाला hardware, “भाड़ में जाओ” जैसे bug reports और customer service, और यह सच कि अब आप अपनी मशीन के मालिक नहीं रह गए हैं—इन सबकी जानकारी है
      जो लोग Apple, और व्यापक रूप से Microsoft, खरीदते हैं, वे यह जानते हुए भी खरीदते हैं कि वे अपने डिवाइस पर access नहीं देंगे, और यह भी जानते हुए कि बेहतर open source विकल्प मौजूद हैं; इसलिए उन्हें उसका परिणाम वैसे ही स्वीकार करना चाहिए
    • अब तो hardware तक किसी के पास सच में मालिकाना नहीं रहा
  • जब product की समस्या customer support हल नहीं कर पाता या हल नहीं करना चाहता, तो मैं contact-selling sites से CEO का email और phone number खरीदकर सीधे संपर्क करता हूं
    हाल ही में Google class-action settlement की रकम पाने की समस्या भी ऐसे ही हल की और cheque express से मिल गया
    हालांकि Cash App में इसका उल्टा असर हुआ: जवाब मिला कि “support system के बाहर किसी employee से संपर्क करने के कारण account बंद कर दिया गया है”
    अब सोच रहा हूं कि Sundar Pichai का mobile number कितना होगा। username, password और recovery email मेरे पास हैं, लेकिन पुराना phone number नहीं है, इसलिए Google account में नहीं जा पा रहा हूं

    • Cash App वाला मामला Consumer Financial Protection Bureau में complaint डालने पर जल्दी सुलझ जाएगा
    • अगर share कर सकें तो Cash App की कहानी सुनना चाहूंगा
      अपनी service की समस्या हल करने की कोशिश करने के लिए account बंद करना अपमान जैसा लगता है
    • Australia में consumers की मदद के लिए ACCC है और consumer law भी काफी मजबूत है
      इसी वजह से कुछ कंपनियां government response से बचने के लिए Australia में आने से कतराती हैं, लेकिन Australian consumers खूब पैसा खर्च करते हैं, इसलिए आखिरकार उन्हें उन नियमों के हिसाब से चलना पड़ता है
    • support request के लिए निजी phone number खरीदकर संपर्क करना harassment भी माना जा सकता है
    • दूसरा तरीका shareholder relations department से संपर्क करना हो सकता है
      अगर आप shareholder हैं तो बेहतर, लेकिन जरूरी नहीं; standard process काम न करे तो non-standard रास्ता अपनाने की ethics हर कोई खुद तय करे
      ऐसे inbox आम तौर पर सक्षम लोग देखते हैं, और कम से कम अंदर से बने case को बंद करने के लिए सही व्यक्ति तक forward कर देते हैं
      Patio11 ने भी https://www.kalzumeus.com/2017/09/09/identity-theft-credit-r... के “Where exactly should I address letters?” section में इस तरीके और legal team से संपर्क करने की बात की है
      address न मिले तो headquarters को “ATTN LEGAL DEPARTMENT” लिखकर letter भेज दें; ऐसी mail महंगे लोग खोलते हैं
      मैंने कभी करीब 2 billion dollar market cap वाली एक company, जिसके shares मेरे पास थे, की annual report पर सवाल shareholder relations department को भेजा था, लेकिन follow-up mail तक का जवाब नहीं मिला, इसलिए मैंने अपने आधे shares बेच दिए, और नतीजे से बहुत संतुष्ट रहा
  • निजी इस्तेमाल के लिए अब MacBook न खरीदने की मेरी वजह है
    2019 में मैंने उस समय की top-spec 15-inch MacBook पर 3,000 euro से ज्यादा खर्च किए थे, जो Europe में मेरे देश की average salary के दो महीनों से भी ज्यादा था
    warranty का एक साल खत्म होने से 2 हफ्ते पहले spacebar खराब हो गया, और design issue होने के कारण local service center ने warranty में कुछ ही दिनों में बदल दिया
    एक साल बाद battery खराब होने लगी, तो authorized repair shop गया; उन्होंने कहा battery बदलने के लिए पूरा keyboard और trackpad बदलना पड़ेगा, जिसकी लागत करीब 750 euro होगी
    एक PC repair shop ने कहा कि वे कुछ सौ euro में कर देंगे, इसलिए मैंने उन्हें दे दिया और वह ठीक चला, लेकिन 3 महीने बाद laptop अचानक बंद हो गया
    Apple ने unofficial battery इस्तेमाल करने की वजह से paid repair भी करने से मना कर दिया, और Mac ईंट बन गया
    आखिरकार निजी इस्तेमाल में 2.5 साल के लिए 3,500 euro लगे, जो एक सस्ती used car से भी महंगा था

    • सुनने में ऐसा लग रहा है कि warranty खत्म हो चुके Apple laptop की battery 1,000 euro से कम में बदली ही नहीं जा सकती
      अगर यह सच है, तो यह इतना अविश्वसनीय है कि इसे front-page news बनना चाहिए, ताकि कोई भी दोबारा Apple laptop खरीदने की गलती न करे
    • 2013 में खरीदा गया 400 dollar का Toshiba laptop आज भी ठीक चल रहा है, और 2015 model भी अच्छा टिक रहा है
    • दूसरी तरफ 3 साल का AppleCare 140 dollar में भी खरीदा जा सकता था
  • Apple से AirPods Max वापस मिले, लेकिन लगता था कि उन्हें refurbished यूनिट से बदल दिया गया था
    कुछ दिन इस्तेमाल नहीं किया, फिर आवाज़ आने पर निकालकर देखा तो iPhone पर notification आया कि ये AirPods Max किसी iCloud account से जुड़े हुए हैं
    Apple द्वारा दिए गए track किए जा सकने वाले headphones से असहज महसूस हुआ, इसलिए Tim को email भेजकर स्थिति समझाई
    अगले दिन Apple की executive service team से call आया, उन्होंने details पूछीं और कहा कि वे refurbished नहीं बल्कि नए headphones देने और यह confirm करने की मांग चाहते हैं कि क्या वे सच में track किए जा सकते थे
    उसके अगले दिन दोनों बातों का जवाब मिला: नया replacement नहीं मिलेगा, Find My से जुड़े account के ज़रिए वाकई track किया जा सकता था, और वे माफ़ी चाहते हैं

    • शुरू से ही refurbished product से replacement देना समझ से परे है
    • ऐसे अंत की उम्मीद नहीं थी
      headphone वाली समस्या पर बस सह लेने जैसा जवाब मिला, यह विश्वास करना मुश्किल है
  • Tim की executive team ने समस्या सुलझा दी, यह अच्छा लगा, लेकिन बड़े स्तर पर देखें तो इसका मतलब लगता है कि real-world identity, digital identity और devices को जोड़ने वाले mechanism की जरूरत है
    खरीद के proof के बजाय account या device से जुड़ी government ID पेश की जाए, और अगर identity verification process भरोसेमंद हो तो उस identity को device से जोड़ने वाले व्यक्ति के रूप में confirm करके device या account access वापस पाने का तरीका हो
    Tim को email भेजने वाला तरीका scalable नहीं है
    account recovery के regulatory gap पर FTC को comment submit किया था, और identity financial services-केंद्रित information security work में संभाला जाने वाला factor है

    • real-world identity को machine से जोड़ना इस समस्या का बहुत खराब समाधान है, और यह समस्या को ठीक से न समझने से निकला विचार है
      मुख्य बात यह है कि device उस private key के ownership के बिना बेचा जाता है जिसका इस्तेमाल device set up करने में होता है
      अगर key मेरी नहीं है, तो device भी मेरा नहीं है
    • real-world identity को digital identity और devices से जोड़ना समाधान से ज़्यादा समस्याएँ पैदा करता है
    • Estonia में इससे थोड़ा मिलता-जुलता system है: https://e-estonia.com/solutions/e-identity/id-card/
    • मैं कभी नहीं चाहूँगा कि मेरी identity hardware से बंधे
      एक बार ऐसा हुआ तो industry online accounts को भी जोड़ने के लिए campaign शुरू कर देगी
      मैं government और industry पर इतना भरोसा नहीं करता
    • इस स्थिति को रोकने के लिए real-world identity लाए बिना भी digital identity और device ownership का connection काफी होता
      original post के लेखक के पास वह connection बनाने का मौका था, लेकिन उन्होंने उसे नहीं चुना
      Apple services पसंद हैं, लेकिन यह भावना समझ में आती है कि कोई नहीं चाहता कि उसका computer लगातार बड़ी tech company से communicate करे
      हालांकि यह समझना मुश्किल है कि जो व्यक्ति Apple से communicate करना भी पसंद नहीं करता, वह government से communicate करना ठीक क्यों मानेगा
  • हर company को customers से person-to-person तरीके से deal कर पाना चाहिए
    “हम इतने बड़े हैं कि human customers से humans बात नहीं कर सकते” वाला रवैया normal हो रहा है, और यह trend पलटना चाहिए
    revenue source को बढ़ाते हुए उस revenue source को जरूरी support में invest न करना खराब business practice है

    • irony यह है कि Apple products इस्तेमाल करने की एक वजह London में रहते समय उपलब्ध human support staff भी था
      Dell, HP, Lenovo की problems में device भेजकर उम्मीद करनी पड़ती थी, लेकिन Apple problem पर Covent Garden store में जाकर पूछ सकता था
      Apple support experience कुल मिलाकर बहुत अच्छा था; केवल एक बार work के लिए AppleCare और AppleCare+ गलत order करने की घटना exception थी
    • हाल ही में local bank branch में 30 मिनट इंतज़ार करने के बाद मिले employee ने कहा कि problem solve करने के लिए phone hotline पर call करें
      वे सीधे handle नहीं कर सकते थे या करना नहीं चाहते थे
    • experience के हिसाब से Apple में representative से phone contact काफी जल्दी मिल सकता है
      https://support.apple.com/contact
    • morally यह खराब practice हो सकती है, लेकिन business के लिहाज़ से “cost department” पर जितना हो सके उतना कम खर्च करना अच्छा माना जा सकता है
    • क्या कभी ऐसा experience नहीं हुआ कि बेकार इंसान ने chatbot से भी ज्यादा time waste कराया हो?
  • पहली बार MacBook activate करते समय Apple Find My setup को आसानी से skip करने देता है, लेकिन अगर ऐसा न करने के consequences गंभीर हैं तो setup flow बदलने का सुझाव सही लगता है
    उस step को skip करने के consequences साफ़ तौर पर warn करने चाहिए, या unlock policy को ही फिर से देखना चाहिए

    • ऐसा करते ही public में यह आरोप लगेगा कि account creation force करने के लिए users को डराया जा रहा है
      यहाँ ऐसी कोई position नहीं है जो सबको संतुष्ट करे
    • अगर Find My account में device add न करने का मतलब है कि कोई और उसे अपने account में add करके device lock कर सकता है, तो warning text में ठीक यही कहना चाहिए
      “अगर आप यह step skip करते हैं, तो कोई इस device को अपने Find My account में add करके आपको device से lock out कर सकता है। ऐसा होने पर Apple किसी भी हालत में आपकी मदद नहीं करेगा। अभी खरीदी गई इस महंगी चीज़ तक access बनाए रखने के लिए हम recommend करते हैं कि इस device को अपने Find My account में add करें” जैसा कुछ होना चाहिए
    • OS update से brick हुए 2019 MacBook में firmware lock लगा हुआ है
      अगर केवल OS boot हो जाए तो firmware password की जरूरत नहीं, यह सिर्फ erase करते समय चाहिए। मैं erase नहीं करना चाहता, मैं चाहता हूँ कि यह boot हो
      इसे Grand Central से cash में खरीदा था, launch week का “Welcome to your New Mac” email भी है, और यह आज भी Find My में है
      लेकिन cash receipt संभालकर नहीं रखी, और विदेश यात्रा से पहले firmware password लगाया था, जो अब याद नहीं
      Apple इसे Find My में होने और शुरू से अंत तक मेरे ownership में रहने के बावजूद unlock नहीं कर रहा
      वे unlock करके, broken OS update को fix करके, फिर से lock करने का तरीका भी नहीं अपनाते
      मेरे नज़रिए से Apple ने मेरी machine खराब की है और अब उसे फिर से ठीक करने से मुझे रोक रहा है
      इसलिए Find My भी आपको खुद Apple से नहीं बचा सकता
  • थोड़ा अलग मुद्दा है, लेकिन मुझे लगता है कि Activation Lock जैसी चीज़ों के लिए 2–3 साल की expiry date होनी चाहिए
    सिर्फ़ इसलिए कि किसी ने logout नहीं किया, पूरी तरह ठीक-ठाक कंप्यूटर के फेंक दिए जाने से बनने वाला बेवजह e-waste काफ़ी घट सकता है

    • मैं पहले एक car dealership में काम करता था, और समय बीतने पर किसी के भी login न कर पाने की वजह से आखिरकार फेंक दिए गए iPad मैंने अपनी आँखों से 10 से ज़्यादा देखे हैं
      करीब 1 साल बाद उनमें से लगभग एक-तिहाई का यही हाल हो जाता था
    • पिछले साल एक bar मालिक ने मुझे iPhone का एक डिब्बा दिया था जिसे लोग छोड़ गए थे; उनमें कई लगभग नए जैसे थे, लेकिन करीब 24 में से recover हो पाने वाला सिर्फ़ एक iPhone 7 था, बाकी सब e-waste बन गए
    • Enterprise MacBook हो तो ऐसी चिंता नहीं होती
    • e-waste समस्या है, लेकिन device को brick बना देना ही इकलौता मज़बूत theft deterrent है
      कई अपराधी नया iPhone चुराने के बाद अगर 3 साल बाद उसे बेच सकें, तो वे खुशी-खुशी ऐसा करेंगे
  • यह policy इसलिए है कि कोई व्यक्ति laptop बेच दे, नया खरीदार Find My Mac account set कर ले, फिर seller उसे दोबारा चुरा कर Apple से उसे अपना बनाने की request करे—ऐसी स्थिति रोकी जा सके

    • Apple चाहे जो भी policy बनाए, वह असली कानूनी ownership की परिभाषा से बिल्कुल match नहीं करेगी
      कई jurisdictions में कुछ शर्तों के तहत चोरी का सामान भी कानूनी रूप से खरीदा जा सकता है, और caveat emptor यानी buyer-beware का मुद्दा तो है, लेकिन अगर lock खरीद के बाद लगा हो तो सिद्धांततः Apple को नए owner के लिए lock खोलने पर मजबूर किया जा सकता है
      इसके अलावा भी ownership transfer के कई ऐसे मामले होते हैं जो कहीं कम संदिग्ध हैं, और जब कानून second-hand market को मान्यता देता है, तब Apple उन सभी का arbitrator बनने की स्थिति में नहीं है
    • वह scenario MacBook से nuclear power plant hack करके उड़ाने वाली बात से बस थोड़ा ही ज़्यादा plausible लगता है
      वैसे scenario के लिए भी MacBook में कोई protection नहीं है
    • बेचकर फिर वापस चुरा लेना क्या वाकई इतना अक्सर हो सकता है कि यह policy justify हो जाए?
  • मुझे लगता है Tim Cook को भेजे मेरे पत्र का भी असर हुआ
    macOS Big Sur ने Intel Mac पर high-refresh-rate external displays का support तोड़ दिया था
    यह HDMI/DisplayPort के DSC feature की समस्या थी, और जो लोग 4 साल पहले Catalina में 4K@144Hz ठीक से इस्तेमाल कर रहे थे, वे Big Sur के बाद सिर्फ़ 60Hz ही इस्तेमाल कर पाए
    Apple support और engineering team ने मुझसे Catalina install करके सच में 4K@144Hz चलने का demo दिखाने को कहा, ढेर सारा diagnostic data लिया, और फिर जवाब दिया कि “solution के तौर पर Catalina पर downgrade कर सकते हैं”
    मैंने case number के साथ Tim Cook को पत्र भेजा, और हैरानी की बात है कि macOS Sonoma में यह ठीक हो गया